Wordfence Security で WordPress を保護する方法

WordPress サイトを管理するということは、さまざまな感情を経験することを意味します。 時々、あなたのコンテンツがゆっくりと Google でランク付けされるのを見るときのように、喜びがあります。

更新後にサイトがクラッシュすると、怒りが生じることがあります。 そして時々、あなたは恐怖さえ感じます。 それはあなたのサイトがハッキングされたときであり、他の人だけに起こる不便ではありません.

今後冷や汗をかくのを防ぎ、サイトを保護するには、セキュリティ プラグインを使用してください。

公式ディレクトリで最も有名なものは Wordfence Security と呼ばれます。 無視するのは難しいため、私たちはあなたのためにそれをテストして、それが何を持っているかを調べました.

この記事の終わりまでに、セットアップ方法と使用方法がわかります。

最高の WordPress プロジェクトには最高のホストが必要です!

WPMarmite は Bluehost を推奨しています: 優れたパフォーマンス、優れたサポート。 素晴らしいスタートに必要なすべて。

ブルーホストを試す

ワードフェンスセキュリティとは？

Wordfence Security は、WordPress サイトのセキュリティを強化するためのプラグインです。 アプリケーション ファイアウォール、マルウェア スキャナー、2 要素認証、ブルート フォース攻撃に対する保護など、インストールを保護するためのいくつかの機能を提供します。

4M+のアクティブなインストールで、iThemes Security ( 1M+のアクティブなインストール)、All in One Security ( 1M+のアクティブなインストール)、および Sucuri 800K+のアクティブなインストール) よりも前に、公式のプラグイン ディレクトリで最も人気のあるセキュリティ プラグインです。

「Wordfence Free」とも呼ばれる Wordfence Security プラグインは無料です。 ただし、Wordfence にはいくつかの有料オプションも用意されています。

• Wordfence Premium : 無料のプラグインよりも完全なバージョンで、サポートが含まれています。
• Wordfence Care : セキュリティ ツール チームが Wordfence をインストール、構成、最適化し、サイトを監視します。 セキュリティ関連の問題が発生した場合は、専任チームが介入します。
• Wordfence Responseは、ダウンタイムが経済的な影響を与える WordPress サイト専用のサービスです。 このサービスは、主にトラフィックの多い大規模なサイトや e コマース ストアを対象としています。
• Wordfence Intelligence : 主に、セキュリティ全般に関するデータを収集したい Web ホスト専用です。

WordFence チームは、公式ディレクトリで他の 2 つの無料プラグインも提供していることに注意してください。 Wordfence Assistant は、サイトで Wordfence が有効になっているが、ダッシュボードにアクセスできなくなった場合に役立つプラグインです。 Wordfence ログイン セキュリティには、無料のプラグインに既に含まれているいくつかの機能が含まれています。2 要素認証、XML-RPC 保護、およびログイン ページの CAPTCHA です。 すでに Wordfence Security を使用している場合は、有効にする必要はありません。

Wordfence Security の主な機能は何ですか?

Wordfence Security は、複数のレベルで機能する包括的なセキュリティ ソリューションです。 それを利用するために、ユーザーはいくつかの重要なオプションから恩恵を受けます。

• Web サーバーからの悪意のあるトラフィックを識別してブロックする Web アプリケーション ファイアウォール (WAF) (たとえば、競合他社の Sucuri が提供するクラウドではなく)
• 悪意のあるコードやコンテンツを含むリクエストをブロックするマルウェア スキャナー
• ブルート フォース攻撃に対する保護 管理ログインページへの接続試行回数を制限する
• 二要素認証、WordPress サイトにログインするためのセキュリティ層を追加します
• ボットによるログインを防止し、スパムを制限するためのログイン ページのreCAPTCHA
• セキュリティの問題が検出されたときに電子メールでアラートを送信
• 複数のサイトのセキュリティを一箇所で管理するWordfence Centralというプラットフォーム。 これは、WordPress サイトを維持できる ManageWP と同じ原理で機能します。

WordFence のようなセキュリティ プラグインを使用する必要があるのはなぜですか?

ご存知かもしれませんが、WordPress は地球上で最も広く使用されている CMS (コンテンツ管理システム) であり、市場シェアの63.7%を占めています。

さらに、世界中のほぼ 2 つに 1 つのサイト (最も多くのトラフィックを受信する 100 万のサイト) に電力を供給しています。

この支配的な地位は、人間のハッカー、特に次のような自動的に動作する悪意のあるボットの欲求を刺激します。

• スパムボット
• コンテンツをスクレイピング (抽出) するロボット
• サービス拒否 (DoS) または分散型サービス拒否 (DDoS) 攻撃を開始するボット。

全体で、CMS に対して行われた攻撃の 90% がWordPress に影響を与えています。 そして、 1 秒あたり 2,800 件の攻撃が、特に世界中の WordPress インストールを標的にしています!

ご安心ください: 幸いなことに、WordPress はふるいではありません。 セキュリティの専門家である Patchstack が 2021 年に発行したレポートによると、WordPress コアに起因するセキュリティ上の欠陥はわずか 0.58% です。

主な原因はプラグインであり、これだけで脆弱性の 92.81% を占めています (テーマの 6.61% と比較して)。

Patchstack の調査結果のいくつかは、多くのことを物語っており、セキュリティの問題を非常に真剣に受け止めることを求めています。

• 平均して、 WordPress サイトの 42% に少なくとも 1 つの脆弱なコンポーネント(プラグインまたはテーマ) がインストールされています
• 脆弱性は 2020 年から 2021 年の間に 150% 増加しました
• 重大な脆弱性を含む WordPress プラグインの 29% にパッチが適用されていません

つまり、WordPress サイトのセキュリティを強化するには、WordPress サイトを保護することが不可欠です。

これには、Wordfence のようなプラグインが役立ちます。 以下にインストール方法を紹介します。

3 つのステップで Wordfence をインストールする方法

ステップ 1: WordPress ダッシュボードでプラグインを有効化する

最初のステップは、WordPress 管理インターフェースからプラグインをインストールすることです。

[プラグイン] > [新規追加] メニューに移動し、検索バーに「Wordfence」と入力します。

「Wordfence Security – Firewall & Malware Scan」の横にある「今すぐインストール」ボタンをクリックして、プラグインを有効にします。

ステップ 2: Wordfence ライセンス キーを取得する

プラグインが有効になると、Wordfence ライセンスを取得するよう求めるウィンドウがポップアップ表示されます。 これは、無料のプラグインのすべてのオプションを利用するために必要な前提条件です。

[Wordfence ライセンスを取得] ボタンをクリックします。

公式 Web サイトの Wordfence の価格設定ページにリダイレクトされます。 「無料ライセンスを取得」ボタンをクリックして、プラグインの無料バージョンのキーを取得します。

画面に新しいウィンドウが開きます。 Wordfence は、無料版を使用するかどうかを確認し、プレミアム版の主な利点を説明します。プラグインのチームがファイアウォールまたはマルウェア スキャナーに保護手段を展開するとすぐに、リアルタイムで更新されます。プレミアム版 (無料版では 30 日後)。

無料のプラグインを使用したいだけなので、「新しい脅威からの保護を 30 日間待っても問題ありません」をクリックしました。

次のウィンドウで、メールアドレスを入力し、チェックボックスをオンにして、[登録] をクリックします。

ステップ 3: WordPress にライセンスをインストールする

次に、メールの受信トレイに移動します。 Wordfence からメールが届いているはずです。

中にはライセンスキーがあるので、手動でアクティベートできます。 さらに迅速に移動するために、Wordfence は自動的にアクティブ化することも提案しています。 これを行うには、[ライセンスを自動的にインストール] ボタンをクリックします。

WordPress ダッシュボードにリダイレクトされ、「メール」フィールドと「ライセンス キー」フィールドがすでに入力されています。「ライセンスのインストール」をクリックして終了します。

よくできました: プラグインが稼働中です。 左側のサイドバーの管理インターフェイスに、「Wordfence」という新しいメニューがあり、プラグインによって提供されるすべての設定が含まれています。

プラグインの中身を確認するために、今すぐそれらを見てみましょう。

Wordfence Security プラグインの設定方法

Wordfence セキュリティ ダッシュボードはどのように機能しますか?

プラグインの中核はダッシュボードです。

プラグインが提供するさまざまなオプションにアクセスするためのクイック ショートカットを提供します。これは、左側のサイドバーにあるメニューにもあります。

ワンクリックで、以下を利用できます。

• アプリケーション ファイアウォール
• マルウェア スキャナー
• ワードフェンス・セントラル。 同じダッシュボードからサイトのセキュリティを更新できるこのサービスを利用するには、無料のアカウントを作成する必要があります。 これは、複数のサイトのセキュリティを同時に管理する必要がある場合に便利です。 個人で使う場合は飛ばしてください。
• 電子メール アラート、ファイアウォール、およびスキャナの設定をセットアップするための一般的なオプション
• プラグインのドキュメントへのアクセス
• 通知ログ
• WordPress サイトでブロックされた攻撃の概要
• Wordfence ネットワーク全体でブロックされた攻撃の総数を示すグラフ

ダッシュボードは明確でわかりやすい。 さまざまなオプションから自分の道を見つけるのは簡単です。

アプリケーション ファイアウォールの使用方法

複数の攻撃に対する保護

Wordfence の主な機能の 1 つは、そのアプリケーション ファイアウォールです。

悪意のあるトラフィックを特定し、ハッカーやその他の悪意のあるボットがサイトにアクセスする前にブロックできます。

ファイアウォールは、 Wordfence > Firewallからアクセスできます。 次の攻撃からサイトを保護します。

• SQL インジェクション、つまりデータベースへの攻撃
• クロスサイト スクリプティング(XSS): ページのコンテンツに悪意のあるコードが挿入される
• 悪意のあるファイルのダウンロード
• ディレクトリ トラバーサル攻撃
• ローカル ファイル インクルージョン (LFI) の脆弱性(リモート ファイルが Web サーバーに追加される)

デフォルトでは、プラグインをインストールしてから 1 週間、ファイアウォールは学習モードになります。

「これにより、Wordfence は、サイトを保護する方法と、通常の訪問者がファイアウォールを通過できるようにする方法を理解するために、サイトを知ることができます」と Wordfence は言います。 「ファイアウォールを有効にする前に、Wordfence を 1 週間学習モードのままにしておくことをお勧めします。」

これらの推奨事項を上書きする場合は、下のドロップダウン メニューで [有効にして保護中] をクリックします。

前述のように、Wordfence チームによって新しい脅威が検出されるたびに、プラグインのプレミアム バージョンのみがリアルタイムのファイアウォール アップデートを取得します (グローバルに、必ずしもサイトを標的にすることを意図した攻撃ではありません)。 ファイアウォールの無料バージョンは、脅威が検出されてから 30 日後に更新されます。

WPMarmite サブスクライバーに参加する

WPMarmite の最新の投稿 (および限定リソース) を入手してください。

今すぐ登録

Wordfence Security ファイアウォールの仕組み

デフォルトでは、プラグインはサイトのセキュリティを強化するための基本設定を構成しています。 ただし、追加のオプションを利用して、もう少し技術的な設定をカスタマイズできます。

その中には次のものがあります。

• 特定の IP アドレスをホワイトリストに登録する
• ファイアウォールによって無視される IP アドレスの入力
• ブルート フォース攻撃からの保護を構成します。 たとえば、ログイン ページへのアクセスを防止するために必要なログイン試行の失敗回数 (およびその期間) を指定できます。
  これにより、Limit Login Attempts Reloaded などの追加のプラグインを使用する必要がなくなります。
  

ファイアウォールが正常に機能している場合、円は保護レベルを (パーセントで) 示します。 円がグレーの場合、ファイアウォールは学習モードです。

目標は、100% のスコア (緑色) に到達することです。 マウスを各円の上に置いて、提供されている推奨事項に従うことで、これを実現できます。

ただし、無料版のプラグインで常に 100% のスコアを達成できるとは限りません。

これを実現するには、IP アドレスのリアルタイム ブロックなどのプレミアム オプションを使用する必要があります。

[アプリケーション ファイアウォールのブロック] タブ

さまざまな攻撃から保護するファイアウォール ルールに加えて、Wordfence には追加のブロックのためのカスタム機能もあります。 これらは「ブロッキング」タブからアクセスできます。

以下に基づいてブロック ルールを作成できます。

• IPアドレス
• 地理的領域
• IP アドレスのネットワークや Web ブラウザなどの一連の条件 (カスタム パターン)

詳細については、次のビデオをご覧ください。

マルウェア スキャナーの使用方法

Wordfence > Scanからアクセスできる、プラグインによって提供されるスキャナーに移りましょう。

スキャン ツールは、サイト (コア ファイル、テーマ、およびプラグイン) をスキャンして、マルウェア、不正な URL、バックドア、サイトへのリモート アクセス、SEO スパム、悪意のあるリダイレクト、およびその他のコード インジェクションを検出します。

スキャン中に、プラグインは「コア ファイル、テーマ、およびプラグインを WordPress.org ディレクトリにあるものと比較します」、Wordfence セキュリティの詳細。 「それらの整合性をチェックし、変更があれば通知します。」

最初は、スキャンはスパムとブラックリストに登録された IP アドレスのチェックに重点を置いています (プレミアム バージョンのみ)。 次に、サイトのファイルをスキャンして結果を提供します。

私の場合、安全でない管理者ログイン (「admin」) を使用していることをプラグインが警告します。 次に、[編集] をクリックしてこの問題を解決するか、単に無視します。

ファイアウォールに関しては、円は 100% のスコアに到達するために最適化する要素を示しています。

「スキャン オプションとスケジュール」をクリックすると、より具体的な設定を編集することもできます。

パフォーマンスを最適化するには、たとえば次のことができます。

• 帯域幅を節約するために、スキャナーを限定的に実行することを選択します (Wordfence は Web サーバー上で実行されるため、リソースを使用することに注意してください)。
• スキャンするアイテムの数を手動で制限する

二要素認証を有効にする方法

ファイアウォールとサイト スキャナーの後、WordFence Security はユーザーに 2 要素認証 (Wordfence 2FA) を有効にすることを提案します。

2 要素認証は、WordPress サイトにログインするための追加のセキュリティ対策を追加します。

ユーザー名とパスワードを入力すると、デバイス (多くの場合、スマートフォンやタブレット) を使用してログイン プロセスを検証するよう求められます。

これは、オンライン決済を行う際に銀行機関で既に使用されている方法です。 ブルートフォース攻撃から身を守るのに非常に効果的です。

それを使用するには、 Wordfence > ログイン セキュリティメニューに移動します。 要約すると、次のことを行う必要があります。

• Google Authenticator、Sophos Mobile Security、FreeOTP Authenticator などの自分自身を認証するアプリケーションをスマートフォンにインストールします。
• 選択した認証アプリケーションで、Wordfence が提供する QR コードをスキャンします(1)。
• QR コードのスキャン後に表示される6 桁のコードを入力して、WordPress サイトとアプリケーション間の接続を承認します (2)。

このアクティベーション プロセスを視覚的に確認したい場合は、次のリソースをご覧ください。

[設定] タブを使用して、管理者からサブスクライバーまで、すべてのユーザー ロールに対して 2 要素認証を設定できます。

「ログイン セキュリティ」メニューの「設定」タブでも、Google reCAPTCHA バージョン 3 を有効にして、管理者ログイン ページでスパムから保護することができます。 このサービスを機能させるには、Google からの無料のライセンス キーが必要です。

Wordfence Security が提供するその他のツール

WordFence Security 所有者のツアーはかなり進んでいます。 最後に、WordPress セキュリティ プラグインが提供する最後の 2 つのメニューを見ていきましょう。

ツールメニュー

[ツール] メニューは 4 つのタブで構成されています。

• 「ライブトラフィック」は、ユーザーのログイン、ハッキングの試み、Wordfence ファイアウォールによってブロックされたリクエストなど、サイトで何が起こっているかをリアルタイムで表示します。 カラーコード (緑、グレー、黄、赤) は、サイトにアクセスしようとしている人 (人間またはボット) とステータス (警告またはブロック) を示します。

• 「Whois ルックアップ」を使用して、サイトにアクセスしたり、ページで悪意のある活動を行ったりしている IP アドレスまたはドメイン名の所有者を特定します
• Wordfence オプションを別の WordPress サイトにエクスポートまたはインポートするための「インポート/エクスポート オプション」
• 「診断」は、競合、構成、または他のプラグイン、テーマ、またはサーバー環境との互換性の問題を解決するために使用できる情報を提供します。

すべてのオプション メニュー

「すべてのオプション」メニューには、同じページの他のメニュー (ファイアウォール、スキャナー、接続オプションなど) に散らばっているすべてのオプションが含まれています。

利点は、すべてを同じ場所で見つけることができることです。 主なものはすでに見たので、すべてのオプションには触れません。

ただし、ここで電子メールアラートの設定を設定できることに注意してください. たとえば、アラートを受け取る (または受け取らない) ことを可能にする多数のチェックボックスがあります。

• IP アドレスがブロックされている場合
• ある人があなたのログインページから追放されたとき
• WordPress サイトで多数の攻撃が検出された場合

これで、Wordfence セキュリティ機能の完全なツアーは終了です。 次に、このツールの価格を詳しく見てみましょう。

ワードフェンスの料金は？

Wordfence Security は、最初は公式の WordPress ディレクトリで無料で入手できます。 もちろん、無料版と同様に、プラグインの有料版で提供されるすべてのオプションが含まれているわけではありません.

Wordfence プレミアムの価格は年間 119 ドルです。 優先サポートとは別に、無料オファーとの主な違いは、Wordfence が提供するツールの更新頻度です。

プレミアムでは、Wordfence のサーバーがリアルタイムで脅威を検出するとすぐに、ファイアウォール ルール、マルウェア検出、および IP ブロック リストを瞬時に更新します。

無料のプラグインを使用すると、更新を利用できるようになるまで、ライブになってから 30 日間待つ必要があります。

さらに、Wordfence は、専任チームが Wordfence をインストール、構成、および管理する 2 つのライセンスも提供します。

• ワードフェンスケア: $490/年
• Wordfence レスポンス: $950/年。 このライセンスでは、Wordfence Care と同じオプションにアクセスできますが、最大 1 時間の応答時間も保証されており、応答は年中無休で利用できます.

これらの最後の 2 つのオファーは、主に大規模なサイトと、サイトのセキュリティを管理する時間がない (そしてこのタスクを委任する予算がある) 人向けです。

個人の Web サイトやブログの場合は、無料またはプレミアムの Wordfence プラグインで十分です。

Wordfence プラグインに関する最終的な意見

最後に、このセキュリティ プラグインの長所と短所をまとめて、この記事の冒頭から見てきたことを要約しましょう。

Wordfence Security プラグインの利点

• 学習を容易にする快適で明確なインターフェース
• 基本的なセキュリティ設定が自動的に適用されます
• アプリケーション ファイアウォールなど、無料版で提供される多くの機能
• 二要素認証
• セキュリティスキャナー
• 問題が発生したときに通知する電子メール アラート

プラグインのデメリット

• 一部の設定は初心者には複雑すぎますが、これは他のセキュリティ プラグインにも当てはまります。
• 検出された脅威の最新の更新が、リリースから 30 日後にのみ適用されるという事実
• Wordfence を使用すると、多くのサーバー リソースが消費されるため、ページの速度が低下する可能性があります。 Web ホストが追いつかない場合、サイトのパフォーマンスが影響を受ける可能性があります。

あなたはそれを使うべきですか？

全体として、 Wordfence は非常に優れたセキュリティ プラグインです。 ほとんどのオプションが自動的に機能するため、初心者に適しています。

より高度なユーザーは、より技術的で高度な設定を編集できることに感謝します。

無料のプラグインのおかげで、特にそのアプリケーション ファイアウォールを介したほとんどの悪意のある攻撃をブロックするための貴重なシールドが得られます。 後者は、サイトに最初のレベルのセキュリティを提供する上ですでに効果的です.

競合する他のプラグイン (Sucuri など) は無料版でファイアウォールを提供していないため、これは注目に値します。 ただし、これはどのサイトにも必要な基本的な保護です。

また、Wordfence チームによって検出された最新の脅威から身を守りたい場合 (その方が常に優れています)、予算が許す場合はプレミアム パッケージに切り替えてください。

最後に、セキュリティ プラグインを使用することがすべてではないことを忘れないでください。 第一に、絶対確実なサイトはないからです。 第二に、日常的に優れた慣行を適用する必要があるためです。 たとえば、サイトを定期的に更新してバックアップすることを忘れないでください。

では、Wordfence についてどう思いますか? コメントであなたの意見を教えてください。